GDPR 將如何影響開源社區？

2018 年 5 月 25 日， 通用數據保護條例 General Data Protection Regulation, GDPR 開始生效。歐盟出台的該條例將在全球範圍內對企業如何保護個人數據產生重大影響。影響也會波及到開源項目以及開源社區。

GDPR 概述

GDPR 於 2016 年 4 月 14 日在歐盟議會通過，從 2018 年 5 月 25 日起開始生效。GDPR 用於替代 95/46/EC 號 數據保護指令 Data Protection Directive ，該指令被設計用於「協調歐洲各國數據隱私法，保護和授權全體歐盟公民的數據隱私，改變歐洲範圍內企業處理數據隱私的方式」。

GDPR 目標是在當前日益數據驅動的世界中保護歐盟公民的個人數據。

它對誰生效

GDPR 帶來的最大改變之一是影響範圍的擴大。不管企業本身是否位於歐盟，只要涉及歐盟公民個人數據的處理，GDPR 就會對其生效。

大部分提及 GDPR 的網上文章關註銷售商品或服務的公司，但關注影響範圍時，我們也不要忘記開源項目。有幾種不同的類型，包括運營開源社區的（營利性）軟體公司和非營利性組織（例如，開源軟體項目及其社區）。對於面向全球的社區，幾乎總是會有歐盟居民加入其中。

如果一個面向全球的社區有對應的在線平台，包括網站、論壇和問題跟蹤系統等，那麼很可能會涉及歐盟居民的個人數據處理，包括姓名、郵箱地址甚至更多。這些處理行為都需要遵循 GDPR。

GDPR 帶來的改變及其影響

相比被替代的指令，GDPR 帶來了很多改變，強化了對歐盟居民數據和隱私的保護。正如前文所說，一些改變給社區帶來了直接的影響。我們來看看若干改變。

授權

我們假設社區為成員提供論壇，網站中包含若干個用於註冊的表單。要遵循 GDPR，你不能再使用冗長、無法辨識的隱私策略和條件條款。無論是每種特殊用途，在論壇註冊或使用網站表單註冊，你都需要獲取明確的授權。授權必須是無條件的、具體的、通知性的以及無歧義的。

以表單為例，你需要提供一個複選框，處於未選中狀態並給出個人數據用途的明確說明，一般是當前使用的隱私策略和條件條款附錄的超鏈接。

訪問權

GDPR 賦予歐盟公民更多的權利。其中一項權利是向企業查詢個人數據包括哪些，保存在哪裡；如果 數據相關人 data subject （例如歐盟公民）提出獲取相應數據副本的需求，企業還應免費提供數字形式的數據。

遺忘權

歐盟居民還從 GDPR 獲得了「遺忘權」，即數據擦除。該權利是指，在一定限制條件下，企業必須刪除個人數據，甚至可能停止其自身或第三方機構後續處理申請人的數據。

上述三種改變要求你的平台軟體也要遵循 GDPR 的某些方面。需要提供特定的功能，例如獲取並保存授權，提取數據並向數據相關人提供數字形式的副本，以及刪除數據相關人對應的數據等。

泄露通知

在 GDPR 看來，不經數據相關人授權情況下使用或偷取個人數據都被視為 數據泄露 data breach 。一旦發現，你應該在 72 小時內通知社區成員，除非這些個人數據不太可能給 自然人 natural persons 的權利與自由帶來風險。GDPR 強制要求執行泄露通知。

披露記錄

企業負責提供一份記錄，用於詳細披露個人數據處理的過程和目的等。該記錄用於證明企業遵從 GDPR 要求，維護了一份個人數據處理行為的記錄；同時該記錄也用於審計。

罰款

不遵循 GDPR 的企業最高可面臨全球年收入總額 4% 或 2000 萬歐元 （取兩者較大值）的罰款。根據 GDPR，「最高處罰針對嚴重的侵權行為，包括未經用戶充分授權的情況下處理數據，以及違反設計理念中核心隱私部分」。

補充說明

本文不應用於法律建議或 GDPR 合規的指導書。我提到了可能對開源社區有影響的條約部分，希望引起大家對 GDPR 及其影響的關注。當然，條約包含了更多你需要了解和可能需要遵循的條款。

你自己也可能認識到，當運營一個面向全球的社區時，需要行動起來使其遵循 GDPR。如果在社區中，你已經遵循包括 ISO 27001，NIST 和 PCI DSS 在內的健壯安全標準，你已經先人一步。

可以從如下網站/資源中獲取更多關於 GDPR 的信息：

• GDPR 官網 (歐盟提供)
• 官方條約 （歐盟） 2016/679 （GDPR，包含翻譯）
• GDPR 是什麼？ 領導人需要知道的 8 件事 （企業人項目）
• 如何規避 GDPR 合規審計：最佳實踐 （企業人項目）

關於作者

Robin Muilwijk 是一名互聯網和電子政務顧問，在 Red Hat 旗下在線發布平台 Opensource.com 擔任社區版主，在 Open Organization 擔任大使。此外，Robin 還是 eZ 社區董事會成員，eZ 系統 社區的管理員。Robin 活躍在社交媒體中，促進和支持商業和生活領域的開源項目。可以在 Twitter 上關注 Robin Muilwijk 以獲取更多關於他的信息。更多關於我的信息

via: https://opensource.com/article/18/4/gdpr-impact

作者: Robin Muilwijk 選題者: lujun9972 譯者: pinewall 校對: wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive